Après un tollé, Plex revoit encore sa future politique de vie privée

Crise de l'opt-out 41
Accès libre
image dediée
Securité
Par
le mardi 22 août 2017 à 11:22
Guénaël Pépin

Une journée aura suffi pour que l'outil de streaming Plex se mette sa communauté à dos. En annonçant la fin du refus de la télémétrie, l'entreprise a suscité la colère d'une partie de ses utilisateurs, l'obligeant à revoir rapidement sa copie. Parmi les concessions figure un onglet affichant toutes les données collectées, avec désinscription possible.

Certains changements ne passent pas. L'outil de gestion de médiathèque Plex l'a compris il y a quelques jours. L'entreprise fournit un serveur et des clients permettant de trier et consulter films, musique, séries et photos sur un réseau local ou via Internet. Le serveur est connectable à un service en ligne, géré par la société.

Cette dernière a annoncé une mise à jour de sa politique de vie privée, qui doit prendre effet le 20 septembre, au grand dam d'une partie de la communauté. Dans son email d'annonce, elle déclarait imposer sa télémétrie (collecte de données statistiques), en supprimant la possibilité de s'en désinscrire. De quoi causer un retour de flamme rapide d'utilisateurs inquiets que leurs données d'utilisation puissent être revendues à des tiers, et que des entreprises sachent quels fichiers ils possèdent (plus ou moins légalement). Des peurs infondées, répond Plex.

Comment éteindre un incendie

« Des fonctions et services à venir, incluant des tiers et du contenu financé par la publicité, obligeront Plex à collecter et (dans certains cas) partager des informations sur le streaming des contenus de tiers » affirme l'entreprise, qui exclut explicitement les fichiers personnels de l'utilisateur.

Autrement dit, des données de lecture sur des contenus tiers pourront être partagées pour personnaliser le service et les publicités, sans revente d'autres informations à d'autres entreprises (interdite par sa politique de vie privée).

« Avant que vous ne preniez une fourche sur le chemin vers Reddit, nous ne SAVONS pas quels fichiers vous avez ou ce que vous regardez sur vos serveurs Plex privés. La seule exception est quand vous utilisez Plex avec des services tiers comme Sonos, Alexa, des webhooks et Last.fm. Ne paniquez pas » ajoute le service sur la page résumant les modifications.

Une liste de toutes les informations récupérées

Ces précisions accompagnent une réponse publique du PDG, Keith Valory, pour rassurer sa communauté. Il affirme n'avoir aucun intérêt à identifier les contenus possédés par ses utilisateurs. Pour lui, l'opt-out proposé jusqu'ici donnait « un faux sentiment de vie privée » vu toutes les exceptions qui se sont accumulées au fil des années, principalement techniques. Il annonce trois modifications à venir, pour clarifier la situation.

Le premier est une généralisation des données statistiques, c'est-à-dire que le bitrate ou la durée de l'œuvre seront arrondis pour éviter toute prise d'empreinte, qui permettrait de l'identifier. Le service maintient ses statistiques de performances sur le matériel, les codecs et bitrates, ainsi que sur l'utilisation de certaines fonctions.

La deuxième rectification est l'ajout d'une désinscription (opt-out) de ces statistiques de lecture, en plus des rapports de plantage et des messages marketing. Enfin, les paramètres du serveur personnel Plex contiendront un onglet listant l'ensemble des données collectées par la société, avec la possibilité de couper chaque type.

La communauté, méfiante

Plex sort d'une autre polémique, après l'envoi d'un email aux membres les moins actifs, pour leur rappeler l'existence du service. Problème : l'entreprise a adressé par erreur le message à certains de ses membres les plus actifs, qui se sont demandés ce que Plex connaît concrètement de leur utilisation. Pour éteindre l'incendie, le directeur technique a répondu qu'il ne connaît pas les contenus lus mais conserve bien certaines informations, comme la dernière connexion, pour des raisons techniques.

Les utilisateurs, notamment payants, sont donc méfiants, surtout quand la présentation de la politique de vie privée évoque l'arrivée possible de publicités. Pour diversifier son activité, Plex multiplie depuis des mois des licences pour des contenus de tiers, comme des bandes-annonces ou des paroles de chansons, fournis par des services externes. Cela inclut donc un partage de données, limité au strict nécessaire selon la société.

La question de la légalité de ces collectes par défaut, refusable une fois le serveur mis en place, pose question. Si la juridiction de la CNIL est reconnue dans ce cas, il se peut ainsi que l'entreprise doive obtenir l'aval explicite de l'internaute pour récupérer des statistiques d'utilisation, selon la profondeur des détails. La société suisse devra très sûrement se conformer au futur règlement européen, le RGPD, qui prendra effet le 28 mai 2018, obligeant à un accord explicite pour la collecte et le traitement de ces informations. Il reste donc à voir quelles conséquences concrètes le texte aura sur ces pratiques.


chargement
Chargement des commentaires...